Navigace
ONOOÚ (GDPR) > Статья 30. Учет деятельности по обработке
Stáhnout

Статья 30 GDPR. Учет деятельности по обработке

1. Каждый контролёр и, если применимо, его представитель ведут реестр деятельности по обработке, за которую ответственны. Такой реестр содержит всю следующую информацию:

(а) имя и контактную информацию контролёра и, если применимо, со-контролёра, представителя контролёра и инспектора по защите персональных данных;

(b) цели обработки;

(c) описание категорий субъектов данных и категорий персональных данных;

(d) категории получателей, которым были или будут раскрыты персональные данные, включая получателей в третьих странах или международные организации;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 30(1)(d) GDPR:

7.5.4 Records of PII disclosure to third parties

Control

The organization should record disclosures of PII to third parties, including what PII has been disclosed, to whom and at what time.

Implementation guidance

PII can be disclosed during the course of normal operations.

(EN) […]


to read the full text

(e) если применимо, сведения о передачах персональных данных в третью страну или в международную организацию с указанием соответствующей третьей страны или международной организации, а также в случае, указанном во втором подпараграфе статьи 49(1), с документацией соответствующих гарантий;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 30(1)(e) GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

(EN) […]


to read the full text

Související texty

(f) если возможно, планируемые сроки удаления различных категорий персональных данных;

ISO 27701

(EN) 8.4.2 Return, transfer or disposal of PII

Control

The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer.

Implementation guidance

At some point in time, PII can need to be disposed of in some manner.

(EN) […]


to read the full text

(g) если возможно, общее описание технических и организационных мер безопасности, упомянутых в Статье 32(1).

Související texty

2. Каждый процессор и, если применимо, представитель процессора ведут реестр всех видов деятельности по обработке, выполняемых от имени контролёра, содержащий следующую информацию:

(а) имя и контактные данные процессора или процессоров и каждого контролёра, от имени которого работает процессор, и, если применимо, представителя контролёра или процессора и инспектора по защите персональных данных;

(b) виды обработки, проведенной от имени каждого контролёра;

(с) если применимо, сведения о передачах персональных данных в третью страну или в международную организацию с указанием соответствующей третьей страны или международной организации, а также в случае, указанном во втором подпараграфе статьи 49(1), с документацией соответствующих гарантий;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 30(2)(c) GDPR:

8.5.2 Countries and international organizations to which PII can be transferred

Control

The organization should specify and document the countries and international organizations to which PII can possibly be transferred.

Implementation guidance

The identities of the countries and international organizations to which PII can possibly be transferred in normal operations should be made available to customers.

(EN) […]


to read the full text

(d) если возможно, общее описание технических и организационных мер безопасности, упомянутых в Статье 32(1).

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 15.1.2.

Here is the relevant paragraph to article 30(2)(d) GDPR:

6.12.1.2 Addressing security within supplier agreements

Implementation guidance

The organization should specify in agreements with suppliers whether PII is processed and the minimum technical and organizational measures that the supplier needs to meet in order for the organization to meet its information security and PII protection obligations (see 7.2.6 and 8.2.1).

(EN) […]


to read the full text

Související texty

3. Реестр, упомянутый в параграфах 1 и 2 должен быть составлен в письменной форме, включая электронную.

4. Контролёр или процессор и, если применимо, представитель контролёра или процессора, предоставляют реестр в распоряжение надзорного органа по его запросу.

5. Обязательства, указанные в параграфах 1 и 2 не распространяются на предприятия или организации с численностью работников менее 250 человек, за исключением случаев, когда обработка, которую они осуществляют, с большой долей вероятности может привести к риску нарушения прав и свобод субъектов данных, либо когда обработка не носит случайный характер, либо когда обработка включает специальные категории данных, упомянутые в Статье 9(1), или персональные данные, касающиеся судимостей и правонарушений, упомянутые в Статье 10.

Pokyny & Case Law Související texty
Odborný komentář ISO 27701 Body odůvodnění Pokyny & Case Law Zanechat komentář
Odborný komentář

(EN) Article 30 is pretty straightforward and gives us very direct instructions on what document has to be created and what information has to be in it. Often it is enough to create a spreadsheet or a simple Excel table if the number of your processing activities is not so high, but if it doesn’t scale well, there are also specialised software solutions for Register of Processing Activities. 

(EN) […]


to read the full text

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 30 GDPR:

7.2.8 Records related to processing PII

Control

The organization should determine and securely maintain the necessary records in support of its obligations for the processing of PII.

Implementation guidance

A way to maintain records of the processing of PII is to have an inventory or list of the PII processing activities that the organization performs. Such an inventory can include:

 

(EN) […]


to read the full text

Body odůvodnění

(13) В целях обеспечения соответствующего уровня защиты физических лиц на территории Союза и предотвращения расхождений, затрудняющих свободное движение персональных данных в пределах внутреннего рынка, Регламент необходим для обеспечения правовой определённости и прозрачности для хозяйствующих субъектов, в том числе микро, малых и средних предприятий, для предоставления физическим лицам во всех государствах-членах одинакового уровня юридически закреплённых прав и обязанностей, а также функциональных обязанностей контролёров и процессоров; обеспечения соответствующего мониторинга обработки персональных данных и равнозначных санкций во всех государствах-членах, равно как и для обеспечения эффективного сотрудничества между надзорными органами различных государств-членов. Надлежащее функционирование внутреннего рынка требует, чтобы свободное движение персональных данных в пределах Евросоюза не ограничивалось или запрещалось по причинам, связанным с защитой физических лиц при обработке персональных данных. Для учёта конкретной ситуации на микро, малых и средних предприятиях, настоящий Регламент предусматривает изъятия в отношении ведения учёта для организаций с менее чем 250 сотрудников. Кроме того, учреждениям и органам Евросоюза, а также государствам-членам и их надзорным органам, рекомендуется учитывать конкретные потребности микро, малых и средних предприятий по применению настоящего Регламента. Понятие микро, малых и средних предприятий должно пониматься исходя из статьи 2 Приложения Рекомендации Комиссии 2003/361/ЕС [5].

[5] Рекомендация Европейской Комиссии от 6 мая 2003 г. относительно определения микропредприятий, малых и средних предприятий (C(2003) 1422) (Официальный журнал Европейского союза N L 124, 20.05.2003, стр. 36). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2003:124:TOC

(39) Любая обработка персональных данных должна быть законной и справедливой. До физических лиц должно быть прозрачно донесено то, что их персональные данные собираются, используются, просматриваются или иным образом обрабатываются, а также то, в каком объеме персональные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любые сведения или сообщения в отношении обработки указанных персональных данных были легкодоступны, понятны и представлены на ясном и простом языке. Этот принцип, в частности, предусматривает необходимость извещения субъектов данных о том, кто является контролёром, о целях обработки данных, а также дополнительное информирование для обеспечения справедливой и прозрачной обработки в отношении соответствующих физических лиц и их права на получение подтверждения и сведений об имеющих к ним отношение персональных данных, которые обрабатываются. Физические лица должны быть осведомлены о рисках, правилах, средствах защиты и правах в отношении обработки персональных данных и о том, как реализовать свои права в связи с такой обработкой. В частности, конкретные цели обработки персональных данных, должны быть ясными и законными и должны определяться в момент сбора персональных данных. Персональные данные должны быть адекватными, релевантными и ограничиваться тем, что необходимо для целей, с которыми они обрабатываются. Это требует, в частности, обеспечения того, чтобы период, в течение которого персональные данные хранятся, ограничивался строгим минимумом. Персональные данные должны обрабатываться только в том случае, если цель обработки не может быть в разумных пределах достигнута иными средствами. Чтобы гарантировать, что персональные данные не будут храниться дольше, чем это необходимо, контролёр должен установить сроки, по истечении которых персональные удаляются или пересматриваются. Необходимо принять все рационально обусловленные меры для того, чтобы обеспечить исправление или удаление неточных персональных данных. Персональные данные должны обрабатываться таким образом, чтобы обеспечить надлежащую безопасность и конфиденциальность этих персональных данных, в том числе для предотвращения несанкционированного доступа к персональным данным или несанкционированного использования персональных данных и оборудования, используемого для обработки.

(82) Для демонстрации соответствия Регламенту контролёр или процессор должен вести учет деятельности по обработке, за которую он отвечает. Каждый контролёр и процессор обязан сотрудничать с надзорным органом и по запросу предоставлять в его распоряжение указанные учетные сведения в целях мониторинга процесса обработки.

Pokyny & Case Law Zanechat komentář
[js-disqus]